文章作者:先知社区(routing)
文章来源:https://xz.aliyun.com/t/149456
1►
前言
本篇文章是记录最近给一所大学做渗透测试时该学校存在的漏洞(目前已经修复)。我是先找该学校的微信小程序的资产,因为各位佬们也知道,微信小程序相对于web应用服务端来讲维护较少,所有漏洞存在多,好挖点。
嘿嘿嘿,下面就来讲讲我是怎么从这个小程序端渗透到web应用端。
2► 知识点讲解
微信小程序的session_key有什么用?
官方文档说是用session_key来生成登录态,让前端每次请求的时候加上登录态来请求接口。
session_key 功能说明:
- 微信客户端通过wx.getUserInfo()获取用户的信息
- 后台有时候也需要获取微信客户端的用户信息,因此,就需要利用session_key这个秘钥来从微信平台中获取
- 后台如果想要获取用户的信息,就一定要知道session_key,如果session_key 过期,就需要客户端完成一次登录的流程
图文参考:
3► 渗透测试
我是有目的性的针对这个大学的小程序进行渗透测试的,所以直接在微信小程序检索该大学,然后挨个进行测试,发现该学校有智慧云平台(这个我还是蛮感兴趣的,因为之前我挖到蛮多的这类平台的漏洞)瞬间就比较兴奋。
一、弱口令爆破
直接进入该小程序,然后通过bp抓包,一般的思路就是拿到小程序的数据包,然后进行访问下该host,尝试下是否存在弱口令
一访问该host,然后跳转网站也没,中间是这个动态,一看就是若依系统。
看到若依,那么就得优先尝试下弱口令了
admin:admin123ry:admin123
但是这个web端是需要使用手机号和密码进行登录的,所以平常使用的那两个弱口令也就没用了,但是经常碰若依系统的就知道,进入后台以后,里面一般会经常留有一个测试账号和测试手机号,可以给师傅们看看若依系统的后台用户管理界面:
可以看到该测试账号使用的手机号,都是很弱的也就是容易爆破的手机号。
下面我们回到小程序端,然后可以看到这里存在用户登录的地方,且比webduan爆破更加方便,没用验证码什么东西。
然后抓包,通过bp的爆破功能模块进行尝试爆破他的用户名,密码我们这里直接使用123456,因为这种学校网站存在这样的123456的弱口令很正常,目前要做的就是爆破用户名也就是手机号了
下面是我自己准备的常用的测试手机号,然后导入bp中进行爆破。
比如师傅们也是可以收集一些常用的测试手机号,有需要的可以私信我,可以给大家发一下。
可以看到00000000000:123456爆破成功了,且成功登录进了web页面端
二、越权漏洞
在这里进行测试,发现getteachers参数,这个应该可有查到很多老师的信息的(这里就是查询的性王的老师信息)
这里也可以尝试删除下这个参数,就可以获取所有老师的信息了
这里可以看到我们开始爆破出来的测试账号
我们开始知道了账号就是手机号,那么我们目前获取到了那多的手机号,我们就可以尝试获取有权限的账户了,尝试发现这个性王的老师,应该是学校管理员账号,可以看到全年级的考勤信息
三、Wx_SessionKey篡改 任意用户登录
Wx_SessionKey_crypt工具下载链接:
https://github.com/mrknow001/BurpAppletPentester
收集该数据包中的SessionKey、iv以及加密字段三个部分,然后再利用Wx_SessionKey_crypt这个工具,我们就可以通过篡改手机号,从而可以任意用户登录危害漏洞。
可以利用这个Wx_SessionKey_crypt工具,进行解密,可以看到确实是我自己的手机号
到目前为止,任意用户登录也就复现完毕了!
4►
总结
这次的渗透测试来讲还是很有收获的,特别是第三个Wx_SessionKey篡改 任意用户登录,大家可以去小程序尝试下,大家首先得找到SessionKey、iv以及加密字段三个部分,然后才可以利用这个工具进行篡改,然后任意用户登录。然后其次就是大家如果第一次挖漏洞还是渗透测试什么的,一定不要小瞧弱口令,因为只有登录进去了,里面后台的很多功能点你才有机会进行测试。
最后希望这篇文章对漏洞挖掘和渗透测试师傅们有帮助!
5►
往期精彩
某园区系统漏洞挖掘
初探SRC挖掘第一步
红队攻防微信聊天记录取证工具
原文始发于微信公众号(李白你好):记某大学智慧云平台存在弱口令爆破/水平越权信息泄露/Wx_SessionKey篡改 任意用户登录漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论